경험 및 습관이 신규서비스의 정보보호 행동에 미치는 요인에 대한 연구 - 보호 동기이론과 UTAUT2을 중심으로 A Study on the Factors of Experience and Habit on Information Security Behavior of New Services - based on PMT and UTAUT2원문보기
본 연구는 지능화된 보안 위협에 인터넷 이용자의 정보보호 행동 요인을 분석하여 정책적 시사점을 제안하고자 한다. 연구 모델은 보호동기이론과 UTAUT2를 기반으로, 인지된 위협, 심각성, 사회적 영향, 자기효능감, 정보보안 제품 이용 경험 및 습관, PC/개인정보보호 행동, 신규 서비스의 정보보호 행동으로 구성 하였고, 인구 통계학적 특성과 인터넷 사용 장소, 유료 보안제품 이용, 침해사고 경험 등을 조절변수로 하여 인터넷 이용자의 보안 행동에 미치는 영향을 분석하였다. 연구 결과는 인지된 심각성, 자기효능감이 보안 제품 이용 경험 및 습관에 높은 영향을 미쳤으며, 경험 및 습관, 자기효능감은 PC/개인정보보호 행동에 높은 영향을 미치고, PC/개인정보보호 행동은 신규 서비스의 보안 행동에 높은 영향을 미치는 것으로 나타났다. 연령, 소득, 유료 보안제품 이용, 침해사고 경험은 인터넷 이용자의 정보보안 행동에 조절효과가 있었다. 본 연구의 결과가 인터넷 이용자의 정보보호 수준 향상을 위한 정책 의사결정에 도움을 줄 것으로 기대한다.
본 연구는 지능화된 보안 위협에 인터넷 이용자의 정보보호 행동 요인을 분석하여 정책적 시사점을 제안하고자 한다. 연구 모델은 보호동기이론과 UTAUT2를 기반으로, 인지된 위협, 심각성, 사회적 영향, 자기효능감, 정보보안 제품 이용 경험 및 습관, PC/개인정보보호 행동, 신규 서비스의 정보보호 행동으로 구성 하였고, 인구 통계학적 특성과 인터넷 사용 장소, 유료 보안제품 이용, 침해사고 경험 등을 조절변수로 하여 인터넷 이용자의 보안 행동에 미치는 영향을 분석하였다. 연구 결과는 인지된 심각성, 자기효능감이 보안 제품 이용 경험 및 습관에 높은 영향을 미쳤으며, 경험 및 습관, 자기효능감은 PC/개인정보보호 행동에 높은 영향을 미치고, PC/개인정보보호 행동은 신규 서비스의 보안 행동에 높은 영향을 미치는 것으로 나타났다. 연령, 소득, 유료 보안제품 이용, 침해사고 경험은 인터넷 이용자의 정보보안 행동에 조절효과가 있었다. 본 연구의 결과가 인터넷 이용자의 정보보호 수준 향상을 위한 정책 의사결정에 도움을 줄 것으로 기대한다.
This study aims to present policy implications by analyzing information security behavior factors of internet users. The research model, based on PMT and UTAUT2, consists of perceived threat, severity, social influence, self-efficacy, experience and habits, PC and privacy behaviors, security behavio...
This study aims to present policy implications by analyzing information security behavior factors of internet users. The research model, based on PMT and UTAUT2, consists of perceived threat, severity, social influence, self-efficacy, experience and habits, PC and privacy behaviors, security behaviors on new services and set demographic characteristics, use places of internet, use of paid products, and experiences of accident as moderate variables to analyze the effect on security behavior. The results showed that perceived severity, self-efficacy significantly influenced on experience and habits, and experience and habits and self-efficacy had a high influence on PC and privacy behavior. Also, PC and privacy behaviors have a high impact on security behavior of new services. Age, income, use of paid products, and experience of accidents have a moderating effects on security behaviors. The results of this study are expected to help policy decision making to improve the level of information security of internet users.
This study aims to present policy implications by analyzing information security behavior factors of internet users. The research model, based on PMT and UTAUT2, consists of perceived threat, severity, social influence, self-efficacy, experience and habits, PC and privacy behaviors, security behaviors on new services and set demographic characteristics, use places of internet, use of paid products, and experiences of accident as moderate variables to analyze the effect on security behavior. The results showed that perceived severity, self-efficacy significantly influenced on experience and habits, and experience and habits and self-efficacy had a high influence on PC and privacy behavior. Also, PC and privacy behaviors have a high impact on security behavior of new services. Age, income, use of paid products, and experience of accidents have a moderating effects on security behaviors. The results of this study are expected to help policy decision making to improve the level of information security of internet users.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
증가하는 신규 보안 위협과 인터넷 이용자의 취약한 보안 대응 환경을 고려해 보면, 인터넷 이용자의 정보보호 수준 향상을 위해 인과 관계를 파악하는 것이 매우 중요하다고 할 수 있다. 본 연구는 인터넷 이용자의 정보보호 행위에 영향을 미치는 다양한 요인들을 찾고, 이를 바탕으로 이용자들의 정보보호 수준 향상을 위한 방안을 모색 하고자 한다.
본 연구에서는 인터넷 이용자의 정보보호 수준 제고를 위해서 인지된 위협, 심각성, 사회적 영향, 자기 효능감이 정보보호 제품 경험 및 습관, PC/개인정보보호 행동, 신규 서비스의 정보보호 행동에 미치는 전체 경로를 파악했다. 인터넷 이용자의 경우, 경제적, 기술적 지원을 기대할 수 없는 환경에서, 진화하는 보안 위협에 노출되고 있고, 피해 사례도 증가하고 있어, 보안 위협에 대응하기 위해서는 다음과 같은 정책적 고려가 필요하다.
연구문제 1은 보호동기 이론과 UTAUT2의 변인들이 종속변수인 신규 정보서비스의 보안 행동에 어떤 영향을 미치는지를 실증하기 위한 것이다. 정보보안 행동을 분석하기 위해서는, 보호동기 이론의 인지된 취약성, 인지된 심각성, 자기효능감, 대응효능감, 장애와 UTAUT2의 사회적 영향, 촉진조건, 경험 및 습관, 가격가치 등을 고려하는 것이 적절하다고 판단하였다.
가설 설정
H10: 보안 제품 이용의 경험 및 습관은 PC나 개인정보보호 행동에 정(+)의 영향을 미칠 것이다.
H11: 보안 제품 이용의 경험 및 습관은 신규 정보서비스의 보안 행동에 정(+)의 영향을 미칠 것이다.
H12: PC나 개인정보보호 행동은 신규 정보서비스의 보안 행동에 정(+)의 영향을 미칠 것이다.
H1: 인지된 위협은 보안 제품 이용의 경험 및 습관에 정(+)의 영향을 미칠 것이다.
H2: 인지된 위협은 PC나 개인정보보호 행동에 정(+)의 영향을 미칠 것이다.
H3: 인지된 심각성은 보안 제품 이용의 경험 및 습관에 정(+)의 영향을 미칠 것이다.
H4: 인지된 심각성은 PC나 개인정보보호 행동에 정(+)의 영향을 미칠 것이다.
H5: 사회적 영향은 보안 제품 이용의 경험 및 습관에 정(+)의 영향을 미칠 것이다.
H6: 사회적 영향은 PC나 개인정보보호 행동에 정(+)의 영향을 미칠 것이다.
H7: 자기효능감은 보안 제품 이용의 경험 및 습관에 정(+)의 영향을 미칠 것이다.
H8: 자기효능감은 PC나 개인정보 보호 행동에 정(+)의 영향을 미칠 것이다.
H9: 자기효능감은 신규 정보서비스의 보안 행동에 정(+)의 영향을 미칠 것이다.
8%)은 PC 관련 정보보안 제품 (안티-바이러스, 안티-스타이웨어, 보안 USB, OTP 등) 이미 사용하고 있고, 악성코드 검사, 백업, 백신 업데이트 자동화 등의 습관을 갖고 있으며, 개인정보 유출 방지를 위한 행동을 경험하고 있다[37]. 이러한 정보보호 제품 이용이나 개인정보보호 행동의 경험과 습관이 신규서비스(모바일, 무선 랜, SNS, 클라우드)의 정보 보안 행동에 어떤 영향을 미치는지 분석하기 위해 가설을 설정하였다.
제안 방법
보호 동기는 위협을 회피하거나 완화 행동을 채택해하는데(Rogers, 1975), 외부 보안 위협에 대한 정보 보안 대응책(보안제품이용, 보호행동, 정책준수 등)을 채택하는 행동의도와 관계된다. 그래서 정보보호 분야에 이러한 보호동기이론을 활용하여, 개인의 정보보안 행동 및 조직의 보안정책 준수행동을 설명하는 연구를 수행 하였다.
문헌 연구에서 고찰한 보호동기이론, UTAUT를 통해, 정보보호 행동을 요인 분석을 위한 연구문제와 이에 대한 가설과 연구 모형을 다음과 같이 설계하였다.
본 연구에서는 인구통계학적 특성(성별, 연령, 학력, 소득), 인터넷 이용장소, 유료/무료 보안 제품 이용, 전해년도 침해사고 경험을 조절변수로 설정하였고, 조절효과가 있을 것으로 예측 하였다.
대상 데이터
한국 인터넷 진흥원(KISA)은 인터넷 이용자들의 정보보호 인식 수준을 파악하기 위해, 전국의 만 12~59세의 인터넷 이용자를 대상으로 방문 면접조사 통해 조사하고 있다[37]. 본 연구에서는, 모바일, 무선 랜, SNS 이용자를 대상으로, 결측 데이터와 불성실 데이터를 제외하고 분석 하였다.
이론/모형
조절효과 분석은 대응별 모수 비교 (pairwise parameter comparison) 방법을 하였는데, 모수의 차이(critical ratio for difference between parameters)가 ±1.96 이상이거나 또는 ±2.58 이상이면 각각 α=0.05, α=0.01에서 유의한 차이가 있다고 할 수 있다.
성능/효과
40대 이하는 자기효능감이 정보보호 제품 이용 경험 및 습관에 더 영향을 미치는 반면, 40대 이상은 경험 및 습관이 PC/개인정보보호 행동에 더 큰 영향을 미치며, PC/개인정보보호 경험이 신규 서비스의 정보보호 행동에 더 큰 영향을 미치는 것으로 나타났다.
219). PC 와 개인정보보호 행동에 영향을 미치는 요인으로 인지된 위협, 인지된 심각성, 사회적 영향, 자기효능감이 채택되었고, 자기효능감이 높은 영향을 주는 것으로 나타났다. 신규서비스의 정보보호 행동에 영향을 미치는 요인으로 경험 및 습관, PC나 개인정보보호 행동, 사회적 영향이 채택되었고, PC나 개인정보보호 행동이 높은 영향을 미치지만, 자기효능감은 기각되었다 (C.
가설점증을 위한 경로분석 과정에서 사회적 영향이 신규 정보 서비스의 보안 행동에 직접적으로 정(+) 영향을 주는 가설이 추가되었다. 정보보호 제품 이용 경험 및 습관에 영향을 미치는 요인으로 인지된 위협, 심각성, 자기효능감이 채택되었고, 인지된 심각성, 자기효능감이 높은 영향을 주지만, 사회적 영향은 기각되었다(C.
넷째, 사회적 영향은 신규 서비스의 정보보호 행동에 영향을 미치지만, 이미 경험한 보안제품 이용 및 습관에 미치는 영향은 기각 되었다. 안티-바이러스 보안 제품처럼 오랜 경험과 습관은 사회적 영향에 영향을 낮추는 것으로 나타났는데, UAUT2에서도 습관이 증가함에 따라 기술의 사용 의도가 감소함을 제시하고 있다[24].
둘째, 인지된 심각성과 자기효능감이 정보보호 제품 이용 경험과 습관에 높은 영향을 주는 것으로 나타났는데, 병행과정 확장모델(EPPM)에 제시된 것처럼, 높은 심각성에 대해 높은 자기효능감이 있는 경우에 정보보호 행위도 높아진다는 것을 보여준다. 특히 20대, 30대는 자기효능감이 높아 정보보호 제품 이용이 높은 반면, 40대 이후 연령층은 정보보호 관련 정보 수집 및 학습활동이 낮으며, 정보 수집 및 학습 어려움이 많은 것으로 나타났다.
먼저, 보호 동기이론과 관련된 연구들에서 인지된 위협과 심각성이 높을수록 보호 행동은 증가한 것으로 나타났다. 따라서 인지된 위협, 심각성은 보안 제품의 이용의 경험 및 습관, PC나 개인정보보호 행동에 정(+)의 영향을 미칠 것으로 예측 하였다.
셋째, 정보보호 제품 이용의 경험과 습관이 개인정보보호 행동에 높은 영향을 미치고, PC/개인정보보호 경험은 신규서비스의 보안 행동에 영향을 미치는 연쇄(cascading) 효과가 있는 것으로 나타났다. 이전의 정보보호 경험이 새로운 서비스의 보안 위협 대응에 매우 긍정적인 영향을 미치는 것으로 파악 되었다.
PC 와 개인정보보호 행동에 영향을 미치는 요인으로 인지된 위협, 인지된 심각성, 사회적 영향, 자기효능감이 채택되었고, 자기효능감이 높은 영향을 주는 것으로 나타났다. 신규서비스의 정보보호 행동에 영향을 미치는 요인으로 경험 및 습관, PC나 개인정보보호 행동, 사회적 영향이 채택되었고, PC나 개인정보보호 행동이 높은 영향을 미치지만, 자기효능감은 기각되었다 (C.R.=1.037, p=.300).
여성의 경우 자기효능감이 PC/개인정보보호 행동에 남성보다 더 영향을 미치는 것(남성: .264, 여성: .364, 차이검정통계량(2.31) 유의확률 99%) 으로 나타났다.
월 가구 소득이 많을수록(300만원 이상) 사회적 영향이 신규 서비스 보호 행동에 더 큰 영향을 미치고, 경험 및 습관이 PC/개인정보보호 행동에 더 큰 영향을 주는 것으로 나타났다.
유료 보안제품 이용자는, 사회적 영향이 경험 및 습관에 더 큰 영향을 미치지만, 신규 서비스의 보안 행동 미치는 영향은 기각 (p-value(.658))되었고, 무료 이용자는 사회적 영향이 신규정보서비스의 보안 행동에 영향을 미치며, 경험 및 습관에 미치는 영향은 기각(p-value(.735) 되었다.
판별타당성을 검증을 확인하기 위해, 변수 간의 평균분산추출(AVE) 값이 상관계수의 제곱값 보다 반드시 커야 한다. 잠재요인 각각의 표준 분산 추출값(AVE)과 잠재요인 간의 상관관계 제곱을 비교한 결과, 표준분산추출(AVE) 값이 모두 상관관계 제곱보다 크므로, 집중 타당성가 판별 타당성이 있다고 할 수 있다.
연구문제 1은 보호동기 이론과 UTAUT2의 변인들이 종속변수인 신규 정보서비스의 보안 행동에 어떤 영향을 미치는지를 실증하기 위한 것이다. 정보보안 행동을 분석하기 위해서는, 보호동기 이론의 인지된 취약성, 인지된 심각성, 자기효능감, 대응효능감, 장애와 UTAUT2의 사회적 영향, 촉진조건, 경험 및 습관, 가격가치 등을 고려하는 것이 적절하다고 판단하였다. 정보보안 기술의 사용 측면에서 보호 동기 이론과 UTAUT 모델을 비교해 보면, UTAUT는 보호동기 모델의 인지된 취약점과 인지된 심각성과 같은 구성 요소가 없다.
가설점증을 위한 경로분석 과정에서 사회적 영향이 신규 정보 서비스의 보안 행동에 직접적으로 정(+) 영향을 주는 가설이 추가되었다. 정보보호 제품 이용 경험 및 습관에 영향을 미치는 요인으로 인지된 위협, 심각성, 자기효능감이 채택되었고, 인지된 심각성, 자기효능감이 높은 영향을 주지만, 사회적 영향은 기각되었다(C.R.=1.230, p=.219). PC 와 개인정보보호 행동에 영향을 미치는 요인으로 인지된 위협, 인지된 심각성, 사회적 영향, 자기효능감이 채택되었고, 자기효능감이 높은 영향을 주는 것으로 나타났다.
첫째, 인지된 위협이 정보보호 제품 이용 경험 및 습관에 부정적인(-) 영향을 미치는 것으로 나타났다. 이는 Witte(1992)의 병행과정 확장모델(EPPM)에서 설명한 것처럼 위협이 대응효능감이나 자기효능감보다 커서 보안 제품 이용이 적거나, 악성코드 검사나 업데이트를 잘 하지 않는 것으로 보인다.
침해사고를 경험한 이용자는 사회적 영향(정보보호 중요성)이 PC/개인정보보호 보안 행동에 매우 큰 영향을 주고, 개인정보보호 행동이 신규 서비스의 정보보호 행동에 는 큰 영향을 마치는 것으로 나타났지만, 사회적 영향, 경험 및 습관이 직접 신규 서비스의 정보보호 행동에 미치는 영향은 기각되었다.
둘째, 인지된 심각성과 자기효능감이 정보보호 제품 이용 경험과 습관에 높은 영향을 주는 것으로 나타났는데, 병행과정 확장모델(EPPM)에 제시된 것처럼, 높은 심각성에 대해 높은 자기효능감이 있는 경우에 정보보호 행위도 높아진다는 것을 보여준다. 특히 20대, 30대는 자기효능감이 높아 정보보호 제품 이용이 높은 반면, 40대 이후 연령층은 정보보호 관련 정보 수집 및 학습활동이 낮으며, 정보 수집 및 학습 어려움이 많은 것으로 나타났다. 이에 따라 정보보호 관련 제품 이용률이 상대적으로 낮고, 악성코드 검사 주기 등이 낮게 나타나고 있다.
이전의 정보보호 경험이 새로운 서비스의 보안 위협 대응에 매우 긍정적인 영향을 미치는 것으로 파악 되었다. 특히 연령, 소득, 전해년도 침해 사고 경험은 이전의 경험이 새로운 정보보호 행동에 영향을 주는 것으로 나타났다. 따라서 신규 서비스의 정보보호 수준 향상을 위해서는 정보보호제품 이용이나 개인정보보호 수준을 향상하는 정책이 병행되어야 한다.
후속연구
다섯째, 조절효과 분석에서 연령과 침해사고 경험은 다양한 경로에서 조절효과가 있는 것으로 파악되어, 이에 대한 정책적 고려가 필요해 보인다. 초중고 학생의 경우 정보보호와 개인정보 중요성 인식이 낮게 나타나고 있어, 정보보호 교육을 통해 정보보호 중요성 인식 제고가 필요하다.
1%), 필요성을 느끼지 못하는(21%) 것으로 나타나기도 하였다. 향후 연구를 통해 보안 제품의 대응효능감과 노력기대(이용 용이성)에 대한 분석도 필요할 것으로 보인다.
질의응답
핵심어
질문
논문에서 추출한 답변
최근 랜섬웨어의 특징은 무엇인가?
올해 가장 많이 발견되고 있는 랜섬웨어의 경우[38] 다양한 신종, 변종 랜섬웨어가 등장하고 있다. 최근 랜섬웨어는 플랫폼(PC, 모바일 기기 등), 운영체제 구분 없이, PC 뿐만 아니라 모바일기기로 공격 대상을 확대하고 있어 인터넷 이용자의 일상이 사이버 보안 위협에 노출되고 있다고 할 수 있다.
4차 산업혁명의 새로운 기술은 무엇인가?
급속하게 변화하는 인터넷 환경과 4차 산업혁명의 새로운 기술(IoT, 클라우드, 빅데이타, 모바일)의 등장으로 사이버 위협이 현실 세계로 확대되고, 위협 또한 지능화 되고 있다. 올해 가장 많이 발견되고 있는 랜섬웨어의 경우[38] 다양한 신종, 변종 랜섬웨어가 등장하고 있다.
KISA가 실시한 2016년 정보보호 실태 조사에 따르면, 정보보호 관련하여 인터넷 이용자의 현황은 어떠한가?
KISA가 실시한 2016년 정보보호 실태 조사에 따르면[37], 인터넷 이용자의 대부분이 스마트 기기, 무선 랜, SNS, 클라우드 서비스를 이용하고, 다양한 목적으로 개인정보를 인터넷에 제공하고 있다. 그러나 인터넷 이용자의 14.2%는 무료 정보보호 제품조차도 이용하지 않고 있으며, 정보보호 제품 이용자의 대부분은 무료 소프트웨어를 이용하고 있다. 매일 또는 일주일에 1~2회 정도 악성코드를 검사하는 이용자도 10.9%에 불과하고, 중요 데이터를 백업하는 인터넷 이용자는 35.0%로 낮은 수준이다. 인터넷 이용자의 17.4%가 전해년도에 침해사고를 경험하였고, 악성코드, 개인정보 유출 및 사생활 침해를 경험한 것으로 조사 되었다. 개인정보를 제공한 인터넷 이용자의 7.6%가 개인정보 침해사고를 경험한 것으로 나타났다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.